我从日志文件中解析request_uri。
_sourceName =" /opt/zazma/var/logs/AuditRequest.log" |解析"方法= ,statusCode = ,requestURI = *,"作为方法,status_code,request_uri |按方法计算,request_uri,status_code |按request_uri排序
uri包括ID和电子邮件地址。我想用' {Id}'替换所有现有的ID。或者' *'以及所有现有的电子邮件都带有' {email}',但是相扑的REPLACE功能并不支持正则表达式。
还有其他一些方法可以替换uri中的值吗?
答案 0 :(得分:1)
您可以匹配要替换的零件的每一侧的起始位和结束位,然后将它们重新连接在一起:
parse regex "(?<start>.*)(?<guid>[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}?)(?<end>.*?)$" nodrop | concat(start, "{id}", end) as result